二重化構成について 


本章では Firewall を2台使用して、二重化構成を構築ずるための手順について説日月しまず。 


セットア、ソプの概要(^86ぺージ） . 

. 一重化機能の動作概要について説明しています。 

セットアップ(一89ページ） . 

. 一重化構成を構築する場合の設定手順について説 

S 月していまず。 

運用（->109ページ） . 

. 一重化構成での運用ちまについて説明します。 

一重化構成の再セットア、ソプ(^117ぺージ） . 

. 再セ、ソトアップの手順が単体構成とは異なりま 

す。再セットアップの隐の差分や手順について説 
S 月していまず。 


を意-制限事項 (一 >118ページ) 


二重化構成で運用する際のを意事項や制限事項に 
ついて説 S 月しています。 













ルータなど 


セツトアップの概要 


二重化構成じついて説明します。 


動作概要 


Firewall を二重化することで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことじより，障害時の業務停止時闇を最ル限にかえることができます。 

また> 運用系で FireWall -1 のプ□セスの異常をお化した場合や設をされた IP アドレスとの适 
信が途絶した場合にわ> 待機系に業務を引き継ぐことが巧能です。 

W 下の仕組みで Firewall を二重化しまず。 

• 通常運用時 

一運用系側の Firewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双ちか6アクセスします。 

-運届系/待機あの Firewall は互いにサーバの状態を監視をします。 


インクーネツト側 LAN 


イントラネツト側 LAN 


運用み 


仮想 IP アドレス 


仮想 IP アドレス 
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• 運用系サーバ障害時 


一待機系の円 rewall が運用系のダウンを検出しまず。 

-運用系の Firewall が仮想 IP アドレスをお効にします。 

一待機系の Firewall が仮想 IP アドレスを有効にします。 

ーインターネット側とイントラネット側の双方か6のアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使用ずる場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
まず。 
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二重化構成では Firewal に台のほかに管理用サーバがお要となりまず。 Express 5800/ 
FW 300または FW 500をもう1台使用し、管理サーバとして動作させることも可能でず。 


必要な IJ ソース 


二重化を実現ずるためには、 Firewal 吃単体で運用ずるときに比べて新たなリソースが'必要 
です。 

セットアップの前にリソースの計画や設ををしてください。 

• 仮想 IP アドレス(インターネット側)：13 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワークアドレス内でホ使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス(イントラネット側)：1つ 

イントラネット側で引き継ぐ'アドレスでず。 

イントラネ、ソト側のネ、ソトワークアドレス内でホ使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス (DMZ 側)： 1 つ 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネ、ソトワークアドレス内で未使用の IP アドレスを設定してください。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 円 rewall 間通信用アドレス： 1 つ 

Firewall 闇の監視に使用するアドレスです。 

基本的には、円 rewall 監視専用アドレスとして、 Firewall 本体のインタフェースに割り当 
てて < ださい。 

n-O 専用のインタフェースが用意できない場合は、インターネット側、イントラネット側と 
使用可能でずが、その場含には別途、特別なポリシールールの作成が必要となりまず。 
ポリシーのルールについては、本章の r セキュリティポリシーの設定」- r 二重化用ルー 
ルの追加」 を参照して < ださい。 
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セットアッつ 

ti 下のネットワーク構成を例にとって設をを行いまず。 


• 

Firewall 1 (運用系） 



ホスト名： 

fwsi 


インターネット側実 IP アドレス： 

202.247 .5.1/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.1/2 目目. 255.25 5.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.1/255.255.255.0 

• 

Firewal に(待機系） 



ホストを： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

• 

仮想 IP アドレス 



インターネ 、ソ ト側： 

202.247 .5.3 


DMZ 側： 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

プ□キシ ARP アドレス 



インターネ 、ソ ト側： 

202.247 .5.4/255.255.255.0 

• 

管理用 サーバ 



ホスト名： 

nrewalLmgr 


IP アドレス： 

192.168 .1.4/255.255.255.0 

• 

GUI クライアント用 PC 



IP アドレス： 

192.16 8.1.5/25 日. 255.25 5.0 
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設定手順の流れ 


じ(下に設定手順の流れを示します。ここでは二重化に関する設を内容を説明しまず。その他 
の手順については3章を参照してください。 


Firewall - 1管理ヴーバのセツトアツつ 


1.FireWall-1 营理サーバの設定 



2. FireWall-1 管理モジユールのコンフイグレーシヨン 


〇 



〇 


セキユリテイポリシーの設定 


〇 


二重化機能の設定 


〇 


他のネットワーク機器の設定 
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FireWall -1 管理サーパのセツトアツ 



二重化する2台のサーバを管理ずるための管理サーバをセットアップします。(下の条件を 
満たずコンピュータに管理モジュールをインストールしてください。 Express 日800/ 
FW 30 日または FW 500をもう1台用意し、管理サーバとして動作させることも巧能です。 


オペレーティングシステム ： Windows NT 4.0 Server （ SP 6 a )、 


Windows or Linux 
ディスク容量： 

六モリ： 

Solaris 
ディスク容量： 
パリ： 


SP 2), 


Windows 2000 Server （ SP 1、 SP 2 、 SP 3) 、 

Windows 2000 Advanced Server ( SP 1、 
Solaris/SPARC 8 (32- bit 、 目 4- bit )、 

Solaris/SPARC 9 (64- bit )、 

RedHat Linux 7.0 (kernel version 2.2.16 > 2.2.17. 2.2.19) 、 
RedHat Linux 7.2 (kernel version 2.4.9-31) 

RedHat Linux 7.3 (kernel version 2.4.18-5) 

40 M 目 W 上 
^28 M 目 ti 上^ i 奨 

40 MBW 上 
^28 M 目 t (上^ i 奨 


* 上記は2002年 11 月現在の情報です。今後のパ、ソチリリース I こより変更になる巧能性があ 
ります。 

W 下は Express 5800 / FW 30 日または FW 500を管理サーバとして動作させる場合の設定例で 
す。 

Firewall- 1 管理ヴー / (の設定 

以下の手順に従って設定を行ってください。 

1. 初期導入ディスクじよる初期設をを巧う。 

3章の ri . 初期導入設を用ディスクによる設定」を参照し、初期設をと管理クライアントの接続を 
行ってください。 


P 初期導入設定用ディスクの作成 J - r 各入力項目の設定」において、「サーバタイプ J は r 管理ヴー 
パ ’ J にチェックをしてください。 


2. 基本設走ツールじよる設定を巧う。 


3章の r 吕.システムのセットアップ J - 「基本設定ツールによる設定」を参照し、管理ヴーバとし 
て使用ずるための設定を巧ってください。ヴーバタイプの設定では、「2. Management 
Server 」 管理ヴーバになっていることを確認してくだをい。 
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Enforcement Module. 

Enterprise Management. 

Enterprise Management and Enforcement Module. 
Enterprise Log Server. 

Enforcement Module and Enterprise Log Server. 


Enter your selection (1-5/a-abort) [1] : 2 


① 円 「 eWall -1 管理モジュールのコンフィグレーシヨンをずる。 

② 使用許諾に承認した場合は < Y > キーを押す。 

③ インストールするモジュールを違択する。 

「2」を逞択し、管理モジュールをインストールします。 


Welcome to Check Point Conrlauration Program 

Please read the following license agreement. 

Hit I ENTER' to continue... 

This End-user License Agreement (the "Agreement") is an agreement 
between you (both the individual installing the Product and any legal 

〈略〉 

Do you accept all the terms of this license agreement (y/n) ? y . 

Select installation type : 


② 


淀認 


3. 設を終了後，再起動する。 


円 reWall -1 管理モジ ユー ルの コンフィグレーシヨン 

管理モジユールを管理サーバへインストールしまず。と rp の手順でコンフィグレーシヨンを 
行ってください。図中の〈略〉の設をする項目については、3章の「2.システムのセットアッ 
プ」-「円 rewWall -1 のコンフィグレーシヨン」を参照してください。 


# twsecup 

Firewall Server conriguration too 丄 ver.2 

server type 

1. Firewall 

2. Management Server 

select number[2] :- 

〈略 > 

# shutdown -r now 


1 2 3 4 5 
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Please select Management type : 


(1) Enterprise Primary Management. 

(2) Enterprise Secondary Management. 


Enter your selection (1-2/a-abort)[1] : 1... 

This program will guide you through several steps where you 
will define your SVN Foundation configuration. 

At any later time, you can reconfigure these parameters by- 
running cpconfig 


************* Installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 


FireWall-l: This is a Management Station. No security policy will be loaded 
Firewall - 1 started 


# shutdown -r now 


① 


.② 


.③ 


© インストールずる管理モジュールのタイプを選択する。 

「1」を違択し、 primary として使用します。 

②管理モジュールを起動させる。 

②再起動する。 


Firewall 本体のセツトアツ 



Firewall のセットアップについて説明しまず。 

マシンの設定 

W 下の手順に従って設定を行ってください。 

1 . 初期導入ディスクじよる初期設をを巧う。 

3章の「1.初期導入設を用ディスクによる設定」を参照し、初期設定と管理クライアントの接続を 
巧ってください。 

2. 基本設定ツールじよる設をを巧う。 

3章の「2.システムのセツトアップ」-「基本設定ツールによる設を」を参照し、設定を巧ってくだ 
さい。 


上記の設定においては、二重化機能を使巧しない設定としてください。二重化機能の設定につ 
をましては、後述の「二重化機能の設定」で巧いまず。 


Use cluster system? け / n} [ 打 ]: 
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Enforcement Module. 

Enterprise Management. 

Enterprise Management and Enforcement Module. 
Enterprise Log Server. 

Enforcement Module and Enterprise Log Server. 


Enter your selection (1-5/a-abort) [1] : 1 


Select installation type : 


Do you accept all the terms of this license agreement (y/n) ? y 


This End-user License Agreement (the "Agreement")is an agreement 
between you (both the individual installing the Product and any legal 

<BS> 


Please read the following license agreement. 
Hit * ENTER' to continue... 


TT ーピー WiAt ム W - 

Welcome to Check Point Conriguration Program 


② 


① cpconfig 〕 マンドを実行し、円 reWall -1 の〕ンフィクレーシヨンを始める。 

② 使用許諸に承認した場合は < Y > キーを押ず。 

③ インストールずるモジユールを選択ずる。 

二重化構成の場合は「1」を違択し、インストールします。 


FireWall -1 のコンフイ グレーシヨ ン 

二重化構成の場合> コンフィグレーション手順が3章とは一部異なりまず。図中の〈略>の設 
定する項目じついては、3章のに.システムのセットアップ」- rFi 「 eWall -1 の〕ンフイグレー 
シ ョン」を参照してください。 


1 2 3 4 5 
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Is this a Dynamically Assigned IP Address Module installation ? (y/n) [n] ? ■■■ 

Would you like to install a Check Point clustering product {CPHA, CPLS or State 

Synchronization) ? (y/n) [ 打 ] ? y ... ... . ......... 

Would you like to enable SecureXL acceleration feature? {y/n) [y] ? n .... 

IP forwarding disabled 

Hardening OS Security ： IP forwarding will be disabled during boot. 

Generating default filter 
Default Filter installed 

Hardening OS Security ： Default Filter will be applied during boot. 

This program will guiae you through several steps where you 
will define your VPN-1 ら FireWall-1 conriguration. 

At any later time, you can reconrigure these parameters by 
running cpconfiq 


① 

.(D 

.感 


① Dynamically Assigned IP Address Module をインストールするか問い合わせがあるの 
で、く Enter > キーを選択する。 

(2) Check Point clustering produ なをインストールずるか問い含わせがあるので、く丫> 
キーを押す。 

③ SecureXL を有効1こするかの設定:をする。 

SecureXL を使用しないのでく N > を選択しまず。 



Configuring Secure Interna 丄 Communication... 

The Secure Internal Communication is used for authentication between 
Check Point components 


Trust State : Uninitialized 
Enter Activation Key: 

Again Activation Key: 


The Secure Internal Communication was successfully initialized 

initial—module: 

Compiled OK. 

Hardening OS Security ： Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y 


.② 


© FireWall -1 管 S サーバと Firewall 聞での通信に使用ずるパスワードを設定ずる: 
②再起動する。 
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セキ ユ IJ ティポ IJ シーの 設定 


円 「 eWall -1 管理サーバに GUI クライアントを接続します。その後、セキュリティポリシーを 
作成し、管理対象の2台の Firewall にインス I ルします。 


GUI クライアントのインス I -ール 

管理クライアントに GUI クライアントをインス!ルしまず。詳しくは、3章の r セキュリ 
ティポリシーのセツトアップ」を参照してください。 


Firewall オブジェクトの作成 


1 . 2台の Firewall のオブジェクトを作成する。 

— ViewObjectTree のに heckPoint ] を選択し、ちクリックします。 
[New Check Point ] 一 [ Gateway ] を選択しまず。 


—オブジェクト ： Gateway 
名前 ： fws 1 、 fws 2 

内容 ： IP Address には FireWalM 管理サーバと同じネットワークの実 IP アドレス 

を設をしてください。 

一 Fire 机 all -1 管理サーバか 6 Firewall を管理(セキュリティポリシーの設定作□グ表示など)す 
るためじは、 Fi 「 eWall -1 管理サーバと Firewall との間で通信を巧うための設をが必要です。 
General ぺージで に ommunication ...] をクリックし、 FireWall - 1の〕ン フィグレーシヨ ン時 
に設をしたパスワードを入力してください。 


deneral Properti 

3fy 


I in 


Topolofy 
NAT 

Authentication 
田 logs and Masters 
Capacity Optimization 
田 Advanced 


Check Point Gateway - General Properties 
Name： pwsi 


IP Address： f 202.247 .51 
Qomment： j 
Color 


Check Poini Prc 
Version |ng 


i Feature Pack 3 


JVPM-1 Pro 


JVPN-1 Net 
lFloodGate-1 

」'如"冷 lien. Policy Server 

Secu。Internal Communcaticn 
Commmicatm.. I DN： 


を, address I F" Dynamic Address 


，] Get Version I 


I 

The Activation Key that you specify must also te used in the module confieuration. 


Activation Key： [*****»» 

Qonfirm Activation Key： [*»*****! 
Irust state； (Uninitialized 


I OK 


Test plC St が I で」 [ 

I 
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Topology ぺージで全インタフエースを設定:しまず 。 [Get Topology ...] をクリ 、ソク して自動 
取得します。 



2 . 下のクラス女オブジェクトを作成ずる。 

— ViewObjectTree のに heckPoint ] を選択し、もクリックしまず。 

[New Check Point ] 一 [Gateway Cluster ] を選択します。 

—オブジェクト ： Gateway Cluster 
を目り ： fws _ cluste 「 

内容 ： IP Address じはインターネット側の仮想 IP アドレスを指定してください。 
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3. Cluster Members ぺージで、手順 1 で作成した 2 台の Firewall オブジェクト ( fwsi と fws 2) を追力□す 
る。 



4. Synchronization ぺージでセッション同期を巧うネットワークを入力する。 
このネットワークにおいて互いのコネクション情報を共有します。 



XJ 


General Properties 
Cluster Members 
Availability Mode 
Synchronization 
Topology 
NAT 
*. VPN 

Remote Access 
: Authentic が ion 
を Loes and Masters 
' Capacity Optimization 
由 Advanced 


Synchronization 

|7 jjse State Synchronization 
Synchronization networks 


Netvvork Name 

IP Address 1 Netniork Mask 1 


























[Add... 




Network Nams ： 
IP Address ： 

Net Mask: 


[sync net 


1192.168 .2.0 


1255.255.2550 


OK 


Help 
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セキュリティポリシーの作成 

ネットワーク構成に応じてセキュリティポリシーを作成してください。 

• ステルスルールけーパ自身へのアクセスを拒否ずるルール）に関しては fws _ cluste 「 
(Gateway Clus お「オブジェクト)を設定:ずることにま意してください。 


source 

Destination 

service 

Action 


any 

fws_cluster 

any 

drop 


ネ、ソトワークオブジェクトにて Hide モードの NAT を使用する場合 、 [Add Automatic 
Address Translation 「 ulesjl こチェックし 、 「Translation methocUl こて 「 Hide 」 を選択 
し 、 [Hiding IP Addressjl こは仮想 IP アドレスを指定:します。 

Static モードの NAT を使用する場合 、 「Add Automatic Address Translation rules 」 に 
チェックし 、 「Translation method 」 にて 「 Static 」 を選択し 、 「Translate to IP Address 」 
に S ね ticNAT 変換後 IP アドレスを指をします。 


StaticNAT を使巧ずる場合は、別途基本設定ツール ( fwsetup ) にて、ルーテイング 
の設定、プ□キシ ARP の設定が必要になりまず。ルーテイングの設定については、本 
章の 「 Firewall のセツトアップ J -「 NAT のためのルーテイングテーブル」を参照して 
ぐださい。 


二重化用ルールの追加 


二重化機能を使用するためには、サーバ闇の状態監視用通信を通すためのルールを設定ずる 
必要があります。 

1. メニユーの [ Manage ] 一に er \/ ices ...]^[ New ] を選択し、下のサービスをを義ずる。（を前は一 
例でず。他のを前でわ構いません。） 


オブジェクト 

名前 

ポート 


TCP 

clp_tcp 

28001 


TCP service Properties - 


General 


Name ： 


Comment ： 


[clp.tcp 


Port ： 


128001 


旦が」 


To specify a port range, add a hyphen between the 
lowest and the highest port numbers, for example 44-55. 

|7 Keep connections open after Policy has been installed 

Advanced... j 


L 


キャンたル 


ヘルプ 


J 
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オブジェクト : UDP 
を前 ： clp.udp 

ポート ：28002 


P-OI^ 

上記ポート番号は基本設定ツールにおける既定値のポート番号でず。二重化機能の設定でボー 
卜番号を変更ずる場合はその設定に合わせてサービスの定義を巧ってください。 



2 . 上記の二重化通信用のルールを追がする。 


項目 

Source 

Destination 


設定値 
fws 1、 fws 2 
fws 2 、rwsl 


Service : clp _ tcp 、 clp_udp 

Action : accept 


3. 円 rewall 監視ネットワークを専用としない(インクーネット側、イントラネット側と共有する）場合 
は、 W 下のルールを追力□ずる。 


項目 

Source 

Destination 

Service 


設定値 
fws 1、 fws 2 
sync_rip 
FW 1 


Action 


accept 


rsync _ fip 」 の作成方法 


1. ViewObjectTree の [ Nodes ] を選択し、ちクリックずる。 

[New Nodes ] 一 [ Host ...] を選択しまず。 

2 . IP アドレスは、 Synchronization ぺージで設をしたセッション同期を行うネットワーク内に 
存在する円 P を指をずる。 
























二重化用設定事項 


二重化機能を使用するためには、設定事項として、 [ Policy ] - [Global Properties ] - [NAT - 
Network address translation ] ぺージで 「Automatic ARP configuration 」 のチて、ソクを外す 
必要があります。 



セキュリティポリシーのインス I -ール 

セキュリティポリシーの作成が完了したら、ポリシーをインス!ルしてください。2台の 
Firewalll こインストールされまず。 

セキュリティポリシーのバックアップ 

二重化構成の場合、ポリシー情制が ireWall -1 管理サーバに保存されますが、情報のリスト 
アの際には、管理サーバと Firewall 本体の両方のバックアップデータがあ要となります。管 
理サーバとして Express 5800 / FW 300または FW 500を使用している場合ロホ、3章の「4.セ 
キュリティポリシーのバックアップ」コマンドによるバックアップを参照してください。 
FireWall -1 モジュールのバックアップ方法と同じです。 

その他のサーバを使用している場合には，該当ずるファイルのパックアップがか要となりま 
す。似下のファイルは、 Windows マシンを使用した場合の一例でず。インストールディレ 
クトリによって異なりますのでを意してください。） 

1. 下のディレクトリ配下のすべてのファイル 

C :¥ WINNT¥FW 1 ¥ NG¥conf 
C :¥ WINNT¥FW 1 ¥ NG¥da ね base 
C :¥ WINNT ¥ FW 1¥ NG¥lib 

C:¥Program Files ¥ CheckPoint ¥ CPShared ¥ NG ¥ conf ¥ sic _ cert.p 1 2 

吕 . HKEY 丄 OCAL _ MACHINE ¥ SOFTWARE¥Ch 既 kPoint¥S に 

レジストリエディタを围き，上記のレジストリツリーをファイルに書き化し、バックアップをし 
てください。 

I M-O セキュリティーポ U シーの設定の説明において使用している画像イメージは、 
Firewall - 1 の FeaturePack によつて異なる場合びありまず。 
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二重化機能の設定 


二重化機能の設定方法を説明します。設をは基本設定ツールか6巧います。両 Firewall で全 
<同じ設をを行って< ださい。 

二重化機能の設を項目およびそれぞれの制限事項はと J 下のとおりです。 

• 八ートビート送信間隔 

八ートビートの送信圍隔(秒)を指をします。 

• トビートタイムアウト時間 

八ートビートが途絶して巧手円 rewall がダウンしたと認識ずるまでの時圍(砂)を指走しま 
す。八ートビート送信圍隔より大きい値を指をしてください。 

• Firewall 起動待ち時間 

起動樹こ巧手 Firewall の起動時闇を待ち合わせるあ圍(秒)を指をします。八ートビートタ 
イム時聞より大きい値を指定してください。 

• 内部通信用 TCP ポートを号 

2台の Firewall 聞で通信を巧うための TCP のポート番号を指をします。 

• 内部通信用 UDP ポート番号 

2台の Firewal 情で通信を巧うための UDP のポート番号を指をしまず。 

• Firewall 1 のサーバ名 

ホスト名は FQDN おまではなく、ドメイン名を除いた名前を指をしてください。 

• FirewaH2 のサーバ名 

ホストをは FQDN おまではなく、ドメインをを除いた名前を指定してください。 

• Firewalll のインタコネクトアドレス 

柜手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• FirewaH2 のインタコネクトアドレス 

柜手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使用ずる場合> 円 rewall へのアクセスは原則仮想 IP アドレスを使用ずるあ要 
がありまず。 

サーバ圍監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対まとして設定された IP アドレスとの通信が途絶した場合、待機系 Firewall にフェイ 
ルオーバが斤われまず。本項目の設をは省略することができます。 

• プ□キシ ARP アドレス 


S ね ticNAT 機能を使用する場合、外部公開アドレスとして使用するアドレスを指をして 
ください。 
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• 運用系円 rewall 


運用系の Firewall を指をします。 

• 自動フェイルバック 

自動フェイルバックを巧うかどうか設をします。自動フェイルバックを a 山0にした場 
合、運用系ダウン後、待機系に業務が引き継がれている状態で、運用系が復帰(起動)ず 
ると，自動的に運用系に業務を戻します。 

基本設定ツールでの設定手順を示します。 j ： rF の内容は、本章の r セットアップ」で示した 
ネットワーク構成を例にとって説明します。 


# fwsetup ............ 

Firewall Server conriguration too 丄 Ver.2. 


use cluster system? (y/n)[n] : y 


.① 

霞 

.感 


①管理クライアントから Firewall の設定ツールである fwsetup コマンドを起動する。 

® ruse cluster system 」 の項目までは、く ENTER > キーを押して進み、設定内容を植認ず 
る。 


- START CLUSTERPRO confiauratio 打 - 

CLUSTERPRO Configuration Tool Ver 1.0-4 

- cluster conriguration - 

Input HB interval(0 - 999 ) [0] : .. 

Input HB timeout (1 - 999 )[1] : .■■■■. 

Input WAIT Timeout (1 - 999) [曰] : ... 

Input API TCP port number[28001] : . 

Input HB UDP port number [28002] : ............ 

Input serverl host name : fwsl... 

Input server2 host name : £ws2 . 


..① 

..② 

..③ 

..④ 

..⑥ 

国⑥ 

..⑦ 


③二重化機能を使用する。 < Y > キーを押す。 

① 八ートビートを信閨隔(秒）を入力する。 

② 八ートビートタイムアウト時間(秒）を入力する。 

③ 起動時に巧手 Firewall の起動を待ち合わせる時圍(秒） を人力する。 

④ 内部通信用の TCP ポート番号を人力する。 
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⑥内部通信用の UDP ポート番号を入力ずる。 

⑥ 円 rewall 1のサーバを（ホストを）を人力ずる。 

ホスト名は FQDN おまではなく、ドメインをを除いたを前を指定してください。 

⑦ 円 rewal にのサーバを（ホスト名）を人力ずる。 

ホストをは FQDN おまではなく、ドメインをを除いた名前を指定してください。 


- server conflauration - 

Input fwsl interconnect address .......... 

address(1) : 192.168.2.1 
netmask(1) : 2 日日 . 2 日百 . 2 日百 . 0 
address(2) : 

No. address/netmask 
1 192 . 168 .2. 1/2 百百 .2 百百 .2 百百 . 0 

("a"=aad | "m num"=modify | "d num"=delete | "1"= 丄 ist | Enter=next) : 

Input fws2 interconnect address .. 

address(1) : 192.168.2.2 
netmask(1) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192.168.2.2/2 百百 . 2 百百 . 2 百百 . 0 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


① 


② 


①運用系 Firewall の Firewall 圍監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 

インタコネクトアドレスは16個まで設定巧能です。 

設定後に一覧を表示します。 

一覧から設定内容の追力日、および修正、削隐、一覧の再表示をキー人力から操作できま 
す。 


< A > キ ー + < Ente 「>+— : 


インタコネクトアドレスを追力□しま 
す。 


く [\/1>キー + r 修正ずる一覧の番号」+く Ente 「>+— :指定した番号の設定を修正します。 
く 0>キー + r 削除する一覧の番号」+く Ente 「>+— : 指定した番号の設定を削除しまず。 


< L > キ _+く Ente 「> キー： 


一覧を再表示しまず。 


く En 1; e 「> キー： 次の項目へスキップします。 

® 待機系 Firewall の Firewall 闇監視用アドレス（インタコネクトアドレス）とネ、ソトマスクを 


入力する。 
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No. 


name 
group0 


Input FIP address . 

address(1) : 202.24 7. 


255.255 
172.16.; 
255.255 
192.1 白 8 
255.255 


5.3 

2 己己 . 0 

.3 

255.0 

1.3 
255.0 


netmask{ 1 ) 
address(2) 
netmask(2) 
address{3) 
netmask{3) 
address(4) 

No. address 

1 202.247 .5.3/255.255.255.0 

2 172.1 白 8.1.3/2 己己 . 2 己己 . 2 己己 . 0 

3 192 . 1 白 8 . 1 . 3/2 己己 . 2 己己 . 2 己己 . 0 

{"a"=add | "m num"=moaify | "d num"=delete | "l"=list | Enter=next) : 


.① 


①仮想 IP アドレスを入力ずる。 

仮想 IP アドレスは8個まで設定巧能です。 

設定後に一覧を表示しますので、確認、または、変更してく Ente にキーで進みます。 


■; 一 


二重化機能を使用する場合、サーバへのアクセスは、原則仮想 IP アドレスを使用する'必要が 
あります。 

サーバ間監視専用インタフエース攻かの全インタフエースに仮想 IP アドレスを設をしてくだ 
さし、。 
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- groupO ipw configuration - 

Input IP 村 address ............ ■■① 

address(1) : 202.247.5.xxx |202.247.5.xxx 
address(2) : 

No. address 

1 202.247 . 己 . xxx |202.247.5.xxx 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 

①監視する IP アドレスを入力ずる。 

「1」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となりまず。 

監視する IP アドレスは8個まで設を可能です。ただし、 ru で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントしまず。 


設定後 I こ一覧を表示しますので、確認、または、変更してく Eri 1; e 「> キーで進みます。 

■： 監視が象として設をされた IP ァドレスとの通信が違絶した場合、待機系サーバにフてイル 

L ヒント- 1 才ーバが行われます。 

<設定例> 

♦ 202.247 .5.254 と192.168 .1.254 のどちらかと通信が途絶した場合にフてイルオー 
バを行いたい場合。 

No . address 

1 202.247 .5.254 

2 192.168 .1.254 

♦ 202.247 .5.254 と192.168 .1.254 の双方と通信が途絶した場合にフェイルオーバを 
わしげこし'' 塌合。 

No . address 

1 202.247 .5.254 I 192.16 8.1.254 

♦ 202.247.日.5と202.247 .5.254 の双方と通信が途絶した場合か、192.168 .1.254 と 
通信が途絶した場合にフェイルオーパを行いたい場合 

No . address 

1 202.247 .5.5 I 202.247 .5.254 

2 192.168 .1.254 
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- group 0 proxy arp configuration 


Input proxy address ......................... 

address(1) : 202.247. 己 . 4 
address(2) : 

No. address 
1 202.247.5.4 

{"a"=add | "m num"=m 〇过 ify | "过 num"=delete | "l"=list | Enter=next) : 


.① 


①設定するプ□キシアドレスを指をずる。 

プ□キシ ARP アドレスを人力します。プ□キシ ARP アドレスは25日個まで設定可能で 
す。 

設定後に一覧を表示しますので、確認> または、変更して < ENTER > キーで進みまず。 


[ivFn 


プロキシ ARP ァドレスでは、運用系サーバにて S ね ticNAT を斤う場合の公開用 IP ァドレスと 
なります。 S ね ticNAT で公開する IP アドレスを全て登録してください。 


- aroupO resource conflauration - 

Input primary server hostname(fwsl,fws2)[fwsl] : 
Input fallback policy(1:auto, 2:manual)[manual] : 
- END CLUSTE 民 PRO configuration - 


① 

② 


© 運用系サーバを人力する。 

③自動フェイルバックを巧うかどうか入力する。 


上記の設定は fwsl 、 fws 吕で同じ設定にしてください。 


p! 


上記の設定後は，本体を再起動させるあ要があります。じ(下のコマンドを入力して<ださ 
い。 


# shutdown -r now 


他のネットワーク機器の設定 


イントラネットと DMZ に存在するネットワーク機器じついては、デフォルトルートの設を 
としてサーバに設定したそれぞれのネットワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側：172.16 .1.3) を指をするようじしてください。 
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【参考】 NAT のための ルーテ イング テーブル 


円 rewall の二重化構成において、 DMZ 上や日ーカルネ、ソト内のサーパのアドレスを静的に 
NAT (アドレス変觀し、インターネット上に公開ずる場合、ルーティングテープルとプ□キ 
シ ARP テーブルの設定を別途斤うお要があります。 

例として、下のネットワーク構成の場合、公開用 WWW / FTP サーバを該当するホストと 
すると、じ(下のようなルーティングテーブルとプ□キシ ARP テーブルの設定を Firewall へ行 
うみ要があります。 


r —— —' 202.247 .5. 127 

I I 



destination 202.247 .5. 127 
netmask 2己 5.255.2 己己.255 
gateway 172.16.1.2 


変換後のアドレスを destination 、 実際のアドレスを gateway に指定してください。 
fwsetup の static routing の項目で設定:することができます。 

プ□キシ ARP の設定については、前述の r 二重化機能の設定」を参照してください。 














運用 

二重化構成の運用について説明します。 


障害発生時の対応 


運用系サーバにおいて障害をお化した場合には、フェイルオーバが発生し、 

待機系サーバへ業務が切り替わりまず。その際に基本設定ツールで指定した管理をの E-mail 
アドレス巧にメールが送信されます。 

• ダウンしたとをのメッセージ 



I H-O ダウンした要因がネットワークの通信障害などの場合、ダウンしたときのメッセージびヴ ー 
パ阿こ浦留し、障害復旧樹こ送信されることびありまず。メッセージを夏信した5必ずその 
発信時刻を巧認ずるよラにしてください。 

メールを受信した 6 Express 5800 / FW 300の状態を確認し、システム□グ ( syslog ) か6フエ 
イルオーバが発生した要因を確認し、お要な対処を行って<ださい。メッセージ内容、対処 
方法等は r 付録 C 二重化機能の□グメ、ソセージ」を参照してください。 

• 監視対象 IP アドレスとの通信途絶、あるいは、 FireWall -1 プ□セス消滅が発生し、待機系 
Firewall に業務を引き継いだ場合、 t (後、そのサーバ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは、 [cipstat - s ] の 
に TARTING ] でお認できまず。 

• 運用あ Firewall が起動拒否状態のまま待機系 Firewall で業務を遂行している場合、待機系 
Firewall で監視対ま IP アドレスとの通信途絶、あるいは FireWalM プ□セス消滅が発生し 
てち 、待機系 Firewall か6運用系 Firewall へは業務が引き継がれず，引き続き待機系 
Firewall で業務が遂行されます。但し、上記のを件においても巧互のインターコネクトの 
通信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 
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[監視巧を IP アドレスとの通信途絶が原因の場合] 

-監視対ま IP アドレスとの通信復帰 
- cipgrp コマンドによって業務を起動 
- Firewal 陌起動 

[ Firewall - 1プ□セス消'滅び発ちした場合] 

- cipgrp コマンドによって業務を再開 
- Firewall 再起動 



- s または引数なし....を種状態を表示します。 

-n . インタコネクトマップを表示します。 

-i . を種設定を表示します。 

- hhos し name . 操作対象サーバを。指定なしの場合、コマンド実行サーバが対まとな 

ります。 


. ① 

. ⑨ 


コ7ンド U ファレンス 


状態表示、運用系、待機系の切替等はコマンドを使用して行います。 

情報表示 

現在の状態、設定内容を確認するには w 下のコマンドを実行します。 

C 丄 pstat -S L-h host name] 

-n 

- i L-h host name] 

状態、設定情報の表示を巧います。 

〈オプション〉 


clpstat -£ 


servero : fwsl 
serverl : fws2 


CLUSTER 




」INE 

jINE 


1st 


ONLINE ", 
OFFLINE 
2nd . 


<A> groupO - ipwO 

192.1 白 8.1.254 . 

<U> groupO-fipO 

202.247 .己. 3/2 百己. 2 百己. 25 己. 0 ■■■■■ 

<U> groupO-parpO 

202.247 .5. 5 ....... 

<U> aroupO-execO 

S : /opt/necfws/bin/ckcstat .... 
E : /opt/necfws/bin/ckcstat .... 
<U> groupO-execl 

W : /opt/necfws/bin/ckfwalive 


ONLINE ONLINE 


ONLINE OFFLINE 


ONLINE OFFLINE 


ONLINE OFFLINE■ 


ONLINE OFFLINE 


/opt/necfws/bin/ckfwalive -k 
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cipstat - s の各項目について 


① サーバ 名 1(1 台目) 

② サーバ 名)に台目) 

③ サーバの状態 


ONLINE :八ートビートが受信されている 
OFFLINE :八ートビートが受信されていない 

④グループのが態 


ONLINE 

正常 

OFFLINE 

停止 

ERROR 

異常 

UNKNOWN 

不明 

⑥フェイルオーバポリシ 
愈グループ起動の許可/禁止 

ALLOW 

許可 

DENY 

禁止 

UNKNOWN 

不明 

⑦ IPW リソースの起動種別と状態 

< A > 

全 サーバ 起動 

< U > 

単 サーバ 起動 

ONLINE 

正常 

OFFLINE 

停止 

ERROR 

異常 

UNKNOWN 

不明 


⑧ IPW リソース監視アドレス 
(D 円 Pij ソースの状態 
《 IPW リソースと同様 
⑩円 pij ソース設定:アドレス/ネットマスク 
⑩ PARP リソースの状態 
m IPW リソースと同様 
@ PARP リソース設定:アドレス 
@ EXEC リソースの状態 
《 IPW リソースと同様 
〇 EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

@ EXEC リソース停止時実行パス 
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# clpstat -1 


SERVER : fwsl 


CLUSTER INFORMATION 


CLUSTER : 
STARTUP 
WAIT timeout 
HB port 
HB interval 
HB timeout 
API port 
API timeout 
LOG port 
ping timeout 
RECOVER 
RETRY count 


AUTO ■■■■ 

5 . 

24002 ■■■■■ 

1 . 

5 . .. 

24001 ■■■■ 

30 . 

0 . . . 

3 ■■■■. . 

RESTART 
5 . . 


SERVERO : fwsl 
INTE 民 CONNECTO 
INTERCONNECT! 


:192.168 .1.1/255.255.255.0 
:192.168 .2.1/255.255.255.0 


SERVERl : fws2 
INTERCONNECTO 
INTERCONNECT! 


192.168 .1.2/255.255.255.0 
192.1 巨 8.2.2/2 己己 . 2 己己 . 2 己己 . 0 


GROUP 0 : group 0 ■' 
START 
FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 
FAILOVER policy 


AUTO . . 

MANUAL . 

ACT NORMAL ■■… 

IGNORE . 

0/0 . 

0 : fwsl1 : fws2 


groupO-ipwO 


IP 内 0 : 

TYPE 

POLLING address 
RECOVER 
RETRY count 


ASR . 

192.168.1.254 

FAILOVER . 

2/2 . 


FIFO 
TYPE 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


groupO-fipO 


USR . . . . .. 

2 02.247.己. 3/2 己己. 2 己己. 2 己己. 0 

ethO :1 . ....... . 

0 ............ 


RETRY 

己/己.… 


PARP0 : aroupo-parpO 
TYPE : 

IP ADDRESS : 

MAC ADDRESS : 

INTERFACE : 

PING count : 

ARP count : 

RECOVER : 

RETRY count : 


USR . . . . . . 

202.247. 曰.曰 .■■■■■ 

00 :A0 :34: 1A:4C:D3 
ethO . 

0 . ..... 


RETRY 

己/己… ■ 


<次ページに続く> 
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cipstat -i の各項目について 


① CLUSTERPRO AE の起動方法 
YES :自動起動 

N 0 :手動起動 

③起動待ち合わせ時闇(秒） 

( D 八ートビート受信用 UDP ポート番号 
® 八ートビート送信闇隔(秒） 

⑥八ートビートタイムアウト(秒） 

⑥ API 用 TCP ポート番号 
③ API タイムアウト(秒） 

® □グポート番号 

(D ping コマンドタイムアウト(秒） 

⑩リカバリ方法 
RESTART 


⑩ 

⑩ 


STOP 
HALT 
REBOOT 
UNKNOWN :不明 
リトライ回数 
サーバ 名) （1 台目） 

インタコネクトアドレス 
サーバをに台目） 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 
OS シャツ トダウン 
0 S リブート 


® インタコネクトアドレス 
® グループ名 
⑩グループ起動方法 
AUTO :自動 

MANUAL :手動 

UNKNOWN :不明 

⑩ フ王イルバ、 ソク方法 


AUTO 

MANUAL 

UNKNOWN 


自動 

手動 

不明 


® 環境変数 
ACT-NORMAL 
ACT_FAILOVER 
DEACT-NORMAL 
DEACTJLLEGAL 
® グループリカパリ方法 


通常起動 
フェイルオーバ 
通常停止 
異常停止 


無視 

再起動 

停止 

フェイルオーパ 
不明 


IGNORE 
RETRY 
STOP 
FAILOVER 
UNKNOWN 
@ リトライ回数 

@ 運用系サーバを待機系サーバを 
© IPW リソースを 
@起動タイプ 

ASR :全起動リソース 

USR :単起動リソース 

© IPW リソース監視対象アドレス 
透） IPW リソースリカバリ方法 


IGNORE 
RETRY 
STOP 
FAILOVER 
UNKNOWN 
©リトライ回数 
® 円 P リソ ースを 
® 起動タイプ 

《 IPW リソ ースと 同様 
® 円 P アドレス 
® 円 P インターフエース 
® ping 回数 


無視 

再起動 

停止 

フェイルオーバ 
不明 


EX 丘 C0 : aroupO-execo 
TYPE 

ACT path 
D 巨 ACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/opt/necfws/bin/ckcstat 
/ opt/necfws/bin/ckcstat 

NO . 

21 白 23 . . . . 

STOP ... 

0/0 ... 


EXECl : groupO-execl 
TYPE 

ACT path 
D 巨 ACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/opt/necfws/bin/ckfwalive 

/opt/necfws/bin/ckfwalive -k 

YES 

21 白 25 

FAILOVER 

2/2 
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@ リトライ回数 
© EXEC リソースを 
® 起動タイプ 

※ IPW リソースと同様 
⑩ EXEC リソース起動時実行パス 
⑩ EXEC リソース停止時実行パス 
® EXEC リソース監視設定 
《 IPW リソースと同様 
⑩ EXEC リソースプ□セス ID 
⑩ EXEC リソースリカバリち法 
※ IPW リソースと同様 
@リトライ 回数 


# cipstat -n 

- interconnect information - 






address serverO serverl 



丄 . 丄 by . 丄.丄 UK UK. 


丄ゴ^.丄 b け.^.丄 U 氏 Ui\. 


address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


cipstat - n のさ項目について 

①サーバを （1 台目） 

③ サーバをに台目） 

③ サーパ （1 台目）ステータス 

④ プライマリインタコネクトアドレス/ステータス 
⑥ セカンダリインタコネクトアドレス/ステータス 
⑥サーバに台目）ステータス 


風 arp 回数 

風円 P リソースリカバリ方法 
※ IPW リソ ースと 同様 
® リトライ回数 
® PARP リソースを 
⑩起動タイプ 

《 IPWU ソースと同様 
風 PARP アドレス 
風 MAC アドレス 
⑩ PARP インタ フエー ス 
⑩ ping 回数 
® arp 回数 

⑩ PARP リソースリカバリち法 
《 IPW リソ ースと 同様 
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運用系/待機系の切り替え-業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行う場合> w 下のコマンドを実行しまず。 

clparp -S [-h host name] [-a group name] 

-t [-h host_name] [-g group name] 

-m [-h host_name] [-g group name] 

業務の起動/停止関連操作を行います。 


〈オプション〉 

-S . 業務の起動を行いまず。すでに起動されていたり、他のサーバで起動 

している場合には失敗しまず。 

-t . 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実巧サーバを切り替えます。業務が起動しているサーバ側で実 

行するみ要があります。 

-h hos し name . 操作対象サーバをです。指をなしの場合、コマンド実巧サーバが対ま 

となります。- m オプション指を時には、業務移動元サーバの意巧わ持 
ちまず。 

-g group.name ....... 操作対まグループを指をしまず。指をなしの場合、全グループが対ま 

となります。 








二重化構ぶの再セットアップ 

二重化構成の場合の再セットアップについて説明します。 

次の手順に従って再インストールします。 

• 管理サーバ 

Express 5800 / FW 30 日または FW 500を管理サーバにしている場合の FireWall -1 管理サー 
バの再インス I —ルについて説明します。 

1. 3章の r 再インストール」-「再セットアップ」の手順9までを行う。 

2 . 3章のに.システムのセットアップ」- 「 FireWall - l 管理モジュールのコンフィグレーシヨン」を巧 

ぅ。 

3 . 3章の r 再インストール」-「再セットアップ」の手順11を巧い、管理サーバへバックアップをリ 
ストアずる。 

参 Firewall 本体 

Firewall 本体の再インストール方法について説明しまず。 

1. 3章の r 再インストール」-「再セットアップ」の手順9までを行う。 

2 . 3章のに.システムのセットアップ」- 「 FireWall - l 管理モジュールの〕ンフィグレーシヨン」を行 

ぅ。 

3 . 3章の r 再インストール」-「再セットアップ」の手順11を巧い、管理サーバへバックアップをリ 
ストアずる。 

• セキュリティポリシーをインス!ル 

セキュリティポリシーの再インストールについて説明します。 

1 . SmartDashboard から管理サーバへ接続し、円 rewall 本体へセキュリティポリシーをインス!''一 
ルずる。 

吕. 運巧系 Firewall 、 待機系 Firewall の順で再起動する。 
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注意-制限事頃 


• Firewall 本体が2台と J 上を要です。また、ライセンスは同じノード数のものをそれぞれの 
実 IP アドレスで申請するお要があります。 

• 自動フェイルバック時、接続されていたセッションが切断される場合があります。 

• フェイルオーバが発生した場合、 IKE セッションは失われる可能性があります。 

• 自動フ王イルバックが設走されている場合、運用系サーバ再起動後、自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運届系サーバの方が待機状態になります（運用 
系、待機系の逆転)。運用系サーバに業務を切り营える場合は〕マンド ( clpgrp - m ) により 
サーバの切り替えを実行ずるか要があリまず。 

• 待機あで監視対象 IP アドレスとの通信途絶が発生している場合、運用系でリソース異常 
が発生しても待機系サーバに業務は引き継がれません。 ただし 、この場合でもコマンド 
( clpg 「 p - m ) により業務実巧サーバを切り替えることは巧能です。 
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